威脅情報信息源可以幫助企業從內部系統的信號中找出未知威脅，而安全情報則更進了一步。

[[118372]]

多年來，很多企業大量投資于安全信息和事件管理以及日志管理技術來收集、管理和分析日志。大規模數據分析領域的進步讓企業使用程序來從數據中發現異常活動和分析攻擊。然而，企業很容易被從這些數據中獲得的指標和警告所淹沒。

這正是安全情報派上用場的時候。我們不是盲目地尋找“新的”和“異常”事件，我們現在可以搜索特定IP地址、URL或者有效載荷模式。這特別重要，因為攻擊活動可能很長時間不會被發現;大多數公司是由外部實體通知，而不是內部傳感器—盡管數據收集和事件監控方面已經取得進步。

現在，威脅情報信息源的數量正在不斷增加，從大型網絡安全社區提供的免費開源數據;到經審核和聚合的商業產品;到封閉式信息共享社區—專門針對特定行業或重點領域。當你部署和使用這些威脅情報信息源時，你需要當心你不要再次淹沒在數據中。安全情報能夠幫助你更容易地在日志數據海洋中找出信號，而不是在持續的日志分析中增加噪音和分析負擔。

在根據企業風險和優先級挑選最佳安全情報信息源之前，企業需要考慮以下三個因素：

• 企業威脅情況。企業面臨什么類型的威脅?哪些威脅無法被內部部署的安全情報產品發現?

• 傳感器功能。你能夠收集什么數據，你已經部署或計劃部署什么傳感器?

• 情報差距分析。如果你有特定的情報信息源，你的企業可以更有效地緩解哪些當前威脅?

金融服務機構不僅需要緩解針對其自身基礎設施的威脅，而且還要應對影響其客戶的威脅，例如銀行惡意軟件。關于這個惡意軟件使用的命令控制服務器的威脅情報信息可能比不上HTTP請求中假冒設備的情報。因為企業不可能監控連接到該命令控制服務器的客戶設備，但受感染機器的IP地址的信息將很有用，可以幫助發現這些系統的傳輸記錄，并通知被感染客戶。

威脅情報不應該被限制為簡單的基于網絡和主機簽名，例如IP地址和惡意軟件的哈希值。為了讓安全情報可以幫助解決業務問題，企業應該考慮交易量或與交易及其他風險相關的特定行業性能指標。對于擔心外國競爭者訪問其知識產權或商業機密的跨國企業，他們需要考慮這些潛在競爭對手的能力、其地理位置以及過去采用的方法。

為了發揮威脅情報的真正潛力，以及幫助企業充分了解內部收集到的數據，企業應該分享威脅情報。來自其他企業的信息很有用，特別是類似行業的企業，因為他們面臨著類似的威脅。但分享你的威脅信息也很有幫助，這能夠提供你內部收集的數據的其他方面的信息。例如，不能完全攻擊你網絡的攻擊可能可以有效攻擊其他企業的網絡。這些網絡安全團隊現在可能會分享更多關于攻擊者的意圖和功能的詳細信息，讓你的團隊可以回到你的系統，搜索更多他們可能錯過的指標。

最后，只有安全情報程序提供相關的可部署的簽名來幫助企業更有效地緩解威脅，安全情報程序才會成功。